Torniamo a parlare di assistenti vocali, chiamate e privacy. In seguito all’esplosione del caso nell’estate scorsa che è arrivato a interessare tutte le principali IA integrate in smartphone e dispositivi per le smart home, spunta oggi un nuovo report che focalizza l’attenzione su Microsoft e più nel dettaglio sui servizi legati a Skype e Cortana. A pubblicarlo la redazione di Bloomberg.
Le conversazioni di Skype e Cortana trascritte in Cina
La fonte, una persona rimasta anonima e residente in Cina (nella capitale Pechino), afferma di aver collaborato per anni con un’azienda esterna al gruppo di Redmond e di aver analizzato sul proprio laptop personale una grande quantità di conversazioni (chiamate vocali) così come di comandi impartiti dagli utenti all’intelligenza artificiale. Informazioni fornite da Microsoft senza alcun tipo di protezione per la privacy. L’accesso ai file sarebbe avvenuto attraverso una semplice estensione per il browser Chrome di Google. Il diretto interessato racconta inoltre di non essere stato sottoposto ad alcuna fase di selezione né di formazione.
Non c’erano misure di sicurezza, non ricordo nemmeno di aver affrontato un processo KYC (know your customer). Penso che abbiano semplicemente preso i dati del mio conto bancario cinese.
L’obiettivo del programma è lo stesso già citato in altre occasioni: effettuare a mano la trascrizione di quanto pronunciato a voce, così da migliorare la qualità e l’efficacia degli algoritmi di riconoscimento impiegati dai servizi. Inizialmente il lavoro è stato svolto negli uffici della società incaricata del compito da Microsoft, poi presso la propria abitazione.
… dopo un po’ mi hanno permesso di farlo da casa, a Pechino. Mi sono occupato dell’inglese, poiché sono britannico, ascoltando dunque le persone che hanno impostato i loro dispositivi su questa lingua. Ho avuto accesso a tutto dal mio laptop personale, semplicemente con uno username e una password.
Stando a quanto riferito dalla fonte, le credenziali per l’autenticazione sono state inviate dalla società via email, senza alcun tipo di crittografia: lo username è stato generato seguendo uno schema preciso (immaginiamo ad esempio “contributor01” ecc.), mentre la password assegnata è stata la stessa per tutti i collaboratori assunti in un determinato anno (“pwd2018” o simili).
Mi hanno semplicemente inviato tramite email le credenziali, poi ho avuto accesso alle registrazioni di Cortana. Avrei potuto ipoteticamente condividere il login con chiunque.
Tra i file audio analizzati anche quelli catturati dai dispositivi in seguito alle attivazioni involontarie dell’assistente virtuale.
Ho ascoltato ogni tipo di conversazione inusuale, incluse quelle relative a violenze domestiche.
È in ogni caso doveroso precisare che il report fa riferimento agli anni passati e che già nei mesi scorsi Microsoft ha messo nero su bianco l’intenzione di rivedere il programma attraverso il quale ottenere le trascrizioni delle conversazioni su Skype e Cortana attraverso aziende esterne. La posizione di Microsoft in merito a quanto emerso oggi non cambia rispetto al recente passato. La riportiamo di seguito in forma tradotta.
Analizziamo brevi estratti di dati in forma anonima da una piccola percentuale di clienti al fine di migliorare le funzionalità legate all’attivazione vocale e di tanto in tanto coinvolgiamo partner esterni in questo lavoro. Gli audio sottoposti a revisione solitamente hanno durata inferiore ai dieci secondi e nessuno tra chi se ne occupa ha accesso a conversazioni più lunghe. Lo abbiamo sempre reso noto ai clienti e operato in conformità con i più elevati standard relativi alla privacy come imposto in Europa dalla normativa GDPR.
L’estate scorsa abbiamo attentamente revisionato sia il processo impiegato sia la comunicazione verso i clienti. Come risultato abbiamo aggiornato la nostra posizione sulla privacy così da essere ancora più chiari a proposito di questo lavoro, spostando le operazioni in alcune strutture sicure localizzate in pochi paesi. Continueremo a migliorare per offrire ai clienti una migliore trasparenza e un maggior controllo a proposito di come gestiamo le loro informazioni.